Credenciais em cache no ActiveDirectory e configuração de máquinas

6

Se houver um monte de máquinas Windows que serão usadas remotamente e fora do domínio (no início), existe uma maneira de pré-digitalizar os nomes de usuário e senhas do Active Directory para que os usuários façam login por meio de credenciais armazenadas em cache sem precisar usar o domínio primeiro?

(Temos usuários em áreas remotas e enviamos máquinas para eles - e há conversas sobre o uso do Active Directory e seus domínios, em vez de credenciais locais. Essas máquinas acabam se conectando via celular & VPN ou por POTS, mas não inicialmente e certamente não no primeiro login - eles geralmente têm que trabalhar primeiro em um estado desconectado.)

    
por Keith Douglas 22.06.2015 / 21:14

2 respostas

4

Não estou ciente de uma maneira de excluir as credenciais armazenadas em cache, e isso significaria que a palavra "cache" foi mal escolhida, se assim existisse.

Que tal colocar o LogMeIn ou qualquer outro software de controle remoto em cada computador antes que ele saia pela porta e fazer com que cada usuário faça logon remotamente em sua máquina antes de enviá-lo?

Na minha experiência, a melhor maneira de fazer isso é não juntar as máquinas remotas ao domínio, mas sim criar uma conta de usuário local e uma conta de administrador local em cada máquina. A TI documenta a senha do administrador local e fornece ao usuário a senha do usuário local. Este cenário funciona melhor com VDI e / ou serviços em nuvem. Outra solução alternativa é enviar terminais VPN de hardware pré-configurados para cada computador, de modo que cada computador esteja basicamente na LAN quando o usuário fizer logon.

Um grande problema com o armazenamento em cache de credenciais em computadores 100% remotos é que, se você tiver alguma política de expiração de senhas, pode se tornar praticamente impossível manter as credenciais em cache sincronizadas com as atuais após a primeira expiração. . O melhor cenário é a confusão do usuário final, e a pior é a incapacidade de autenticação.

    
por 22.06.2015 / 21:26
0

Você não desejaria inserir uma credencial armazenada em cache (o que, por sua própria natureza, não pode ser implementada), mas o que você pode fazer para novas implantações é executar um script de implantação que efetue login como usuário ( potencialmente usando uma senha aleatória gerada e definida pela sequência de tarefas usando as credenciais apropriadas). A nova senha aleatória seria configurada para expirar e transmitida separadamente, para que fosse válida até que o usuário se conectasse à rede.

    
por 24.06.2015 / 16:51